KI-Verordnung (AI-Act)
Künstliche Intelligenz (KI) ist zu einem zentralen Bestandteil der digitalen Wirtschaft geworden. Ob in der Fertigung, im Gesundheitswesen oder im Finanzsektor – KI treibt Innovationen voran und schafft neue Möglichkeiten. Die Europäische Union hat mit dem Artificial Intelligence Act (AI Act) Mitte 2024 dazu einen rechtlichen Rahmen verabschiedet mit dem Ziel, vertrauenswürdige KI und verantwortungsvolle KI-Innovationen in Europa zu fördern.
Was ist die KI-Verordnung?
Die KI-Verordnung (KI-VO) ist eine Verordnung der Europäischen Union, die darauf abzielt, den Einsatz von KI-Technologien sicherer und transparenter zu gestalten. Sie legt Regeln fest, um Risiken zu minimieren und das Vertrauen in KI-Systeme zu stärken.
Die Verordnung unterscheidet zwischen verschiedenen Risikostufen beim Einsatz von KI-Systemen sowie unterschiedlichen Rollen von Unternehmen, die mit KI-Systemen befasst sind. Diese Klassifizierungen sind entscheidend, da sie die jeweiligen Pflichten gemäß der KI-VO festlegen.
Betroffene Unternehmen und Pflichten
Grundsätzlich betrifft die KI-VO alle Unternehmen, die KI-Systeme entwickeln, bereitstellen oder nutzen, sofern diese Systeme in der EU eingesetzt werden oder deren Ergebnisse Personen in der EU beeinflussen.
Die KI-VO klassifiziert die Unternehmen in Rollen. Hier finden Sie unterschiedliche Rollen und Beispiele.
Achtung: Je nach Nutzung oder Betrieb eines KI-Systems können sich die Rollen verändern. Integriert man zum Beispiel eine importierte KI-Komponente in seine eigene Software unter eigenem Namen, so wird man vom Importeur zum Anbieter.
| Anbieter | |
|---|---|
| Definition | Anbieter sind Unternehmen, die KI entwickeln oder entwickeln lassen und diese unter eigenem Namen oder einer eigenen Handelsmarke in den Verkehr bringen. |
| Beispiel | Ein Softwarehersteller, dessen eigene Anwendung eine KI-Komponente beinhaltet |
| Pflichten | Sicherstellung der Konformität mit den Anforderungen der KI-VO, Durchführung von Risikobewertungen und Konformitätsprüfungen, Bereitstellung technischer Dokumentationen und Transparenzanforderungen, Sicherstellung der KI-Kompetenz von Mitarbeitern |
| Betreiber | |
|---|---|
| Definition | Betreiber sind Unternehmen, die KI-Systeme in ihrer wirtschaftlichen Tätigkeit und in eigener Verantwortung nutzen oder in ihren Prozessen integrieren. |
| Beispiel | Ein Gastronomiebetrieb, der seine Einsatzplanung mit einem KI-System organisiert; ein Unternehmen, das seine Websitetexte mit generativer KI erstellt |
| Pflichten | Kennzeichnung von Deep Fakes oder Text mit öffentlichem Interesse, Sicherstellung der KI-Kompetenz von Mitarbeitern |
| Importeure/Einführer | |
|---|---|
| Definition | Unternehmen, die ein KI-System aus einem Drittland in die EU importieren und in Verkehr bringen. |
| Beispiel | Eine deutsche Tochtergesellschaft eines US-Unternehmens, die ein KI-System auf den EU-Markt bringt. |
| Pflichten | Überprüfung der Konformität der Anbieter |
| Händler | |
|---|---|
| Definition | Unternehmen, die Produkte mit integrierten KI-Systemen an Endnutzer (Unternehmen oder Privatpersonen) oder weiterverarbeitende Unternehmen vertreiben. |
| Beispiel | Ein Händler, der ein System zur Gesichtserkennung anbietet. |
| Pflichten | Informationen über die Eigenschaften und die sichere Nutzung des Produkts bereitzustellen |
Ausnahmen
- Es gibt keine Ausnahmen für kleine und mittlere Unternehmen.
- Nicht in den Anwendungsbereich der KI-VO fällt der Betrieb bzw. Nutzung von KI für persönliche, nicht-berufliche Tätigkeiten.
- Weitere Ausnahmebestände, wie zum Beispiel KI für militärische, Verteidigungs- oder nationale Sicherheitszwecke oder der Einsatz für wissenschaftliche Zwecke oder Forschungstätigkeiten finden sich im Art. 2 der KI-VO.
Risikogruppen
Die KI-VO kategorisiert KI-Systeme in verschiedene Risikogruppen. Je höher das Risiko einer KI-Anwendung, umso strenger sind die Anforderungen. Hier finden Sie die Klassifizierung, Beispiele und einen Auszug wesentlicher Pflichten:
| Unvertretbares Risiko | |
|---|---|
| Definition | KI-Systeme, die mit den Grundrechten der EU nicht vereinbar sind und somit ein inakzeptables Risiko darstellen. |
| Beispiel | Social Scoring, kognitive Verhaltensmanipulation, KI zur Emotionserkennung am Arbeitsplatz |
| Pflichten | Diese KI-Systeme sind seit dem 2. Februar 2025 verboten |
| Hohes Risiko | |
|---|---|
| Definition | Als Hochrisiko-Systeme werden KI-Systeme bezeichnet, die ein bedeutendes Risiko für Gesundheit, Sicherheit oder Grundrechte bergen. Hierzu können unter anderem KI-Systeme in kritischer Infrastruktur wie Medizin oder Verkehr, im Personalmanagement, in der beruflichen Bildung oder im Bankwesen fallen. |
| Beispiel | KI-gestützte Systeme zur Analyse von MRT-Bildern oder Systeme, die Kreditvergaben analysieren |
| Pflichten | Diese KI-Systeme unterliegen strengen Anforderungen im Hinblick auf Risikobewertung, Transparenz, Robustheit und menschlicher Aufsicht. |
| Begrenztes Risiko | |
|---|---|
| Definition | KI-Systeme mit begrenztem Risiko sind Systeme, die mit Personen interagieren und nur ein geringes Risiko für die Benutzer darstellen. Der Nutzer muss darüber informiert werden, dass er mit einem KI-System interagiert, beispielsweise bei Chatbots. |
| Beispiel | Chatbots im Kundenservice |
| Pflichten | Hier sind Transparenzpflichten vorgesehen. Der Nutzer muss darüber informiert werden, dass er mit einem KI-System interagiert. |
| Minimales Risiko | |
|---|---|
| Definition | Dies sind KI-Systeme, die keine wesentlichen Risiken für Nutzer darstellen. |
| Beispiel | KI-gestützte Rechtschreibprüfung, KI-gestützte Spiele oder Spam-Filter |
| Pflichten | Hier entstehen zu den Rollenpflichten (wie z. B. KI-Kompetenz) keine zusätzlichen rechtlichen Verpflichtungen. Unternehmen wird nahegelegt, freiwillig einen KI-Verhaltenskodex umzusetzen. Laut KI-VO ist die Kommission verpflichtet, innerhalb von zwölf Monaten nach in Kraft treten der KI-VO einen KI-Verhaltenskodex unterstützend anzubieten. |
Was gilt bei der Nutzung und Integration von „Basismodellen“ (GPAI-Systeme)?
GPAI steht für „General Purpose Artificial Intelligence“ (KI-Systeme mit allgemeinem Verwendungszweck). Diese Systeme werden auch „Basismodelle“ genannt, weil es sich um KI handelt, die einem allgemeinen Verwendungszweck dienen, mit großen Datensätzen trainiert werden und sich an verschiedene Aufgabenstellungen anpassen können. Sie können auch in weitere KI-Systeme in verschiedenen Risikogruppen integriert werden. Das bekannteste GPAI Beispiel ist ChatGPT.
Dabei unterscheidet die KI-VO noch zwischen GPAI ohne systematischem Risiko und mit systematischem Risiko. Sind GPAI besonders leistungsfähig, weit verbreitet und könnten tiefgreifende Auswirkungen auf Wirtschaft, Gesellschaft oder Sicherheit haben, so werden Sie als GPAI mit systemischem Risiko eingestuft.
Diese Unterscheidung betrifft vor allem Anbieter dieser KI-Systeme, die besondere Vorschriften beachten müssen. Bei den Betreibern (Nutzern) von GPAI gibt es keine gesonderten Vorschriften.
Anforderungen und Pflichten
Die genauen Anforderungen und Pflichten ergeben sich immer aus der Risiko-Klassifizierung der KI-Systeme und der Rolle des Unternehmens. Hier finden Sie Beispiele für Anbieter und Betreiber:
KI-Verordnung: Anbieterpflichten
Was müssen Sie tun, wenn Sie KI unter eigenen Namen in Verkehr bringen.
KI-Verordnung: Betreiberpflichten
Ihre Pflichten, wenn Sie KI in Ihrem Unternehmen einsetzen.
Was müssen Sie tun, wenn Sie KI unter eigenen Namen in Verkehr bringen.
KI-Verordnung: Betreiberpflichten
Ihre Pflichten, wenn Sie KI in Ihrem Unternehmen einsetzen.
Fristen
Die KI-VO ist am 1. August 2024 in Kraft getreten. Sie wird schrittweise in den nächsten Jahren wirksam, um den Unternehmen ausreichend Zeit zur Anpassung zu geben:
- 2. Februar 2025:
Verbotene KI-Systeme, die ein unvertretbares Risiko darstellen, dürfen nicht mehr verwendet werden.
Anbieter und Betreiber müssen ausreichende KI-Kompetenz sicherstellen. - 2. August 2025:
Anwendbarkeit der Bestimmungen für KI-Systeme mit „allgemeinem Verwendungszweck“ (Basismodell wie zum Beispiel Chat-GPT) - 2. August 2026:
allgemeine Anwendbarkeit der KI-VO - 2. August 2027:
Anwendbarkeit der KI-VO für bestimmte Hochrisikosysteme
Aufsicht und Sanktionen
Jedes EU-Mitgliedsland muss Aufsichtsbehörden benennen, bei denen etwaige Verstöße gegen die KI-VO zukünftig gemeldet werden können. Verstöße gegen die KI-VO können mit Geldbußen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes eines Unternehmens sanktioniert werden.